Verbeterde privacyvoorwaarden Microsoft Office voor alle organisaties

Microsoft gaat haar privacyvoorwaarden wereldwijd verbeteren. Vanaf begin volgend jaar gelden verbeterde privacyvoorwaarden die volgens Microsoft onder andere gebaseerd zijn op de voorwaarden die de Nederlandse overheid dit voorjaar heeft onderhandeld.

De verbeteringen gelden niet alleen voor de grootzakelijke Enterprise versie van Office 365, maar ook voor de Business versie voor het midden- en kleinbedrijf. Dit heeft Julie Brill, de Corporate Vice President for Global Privacy and Regulatory Affairs and Chief Privacy Officer van Microsoft, geschreven in een blog. Deze aankondiging is goed nieuws voor alle organisaties die zich zorgen maken of ze wel over kunnen stappen naar Office 365, terwijl het einde van de ondersteuning voor oudere Office versies in zicht is. Met de nieuwe voorwaarden kunnen zij hopelijk op een privacyveilige manier gebruikmaken van Office 365.

Technische verbeteringen

Uit onderzoek van Privacy Company voor Strategisch Leveranciersmanagement Microsoft Rijk bleek dat Microsoft via haar zakelijke Office software systematisch veel informatie verzamelde over het gebruik ervan (diagnostische gegevens), zonder dat gebruikers of systeembeheerders dit wisten of stop konden zetten. In het voorjaar van 2019 bracht Microsoft een nieuwe zakelijke versie uit van Office 365. In die nieuwe versie heeft Microsoft belangrijke technische verbeteringen doorgevoerd, zoals de mogelijkheid om de diagnostische gegevens te kunnen bekijken, en om de verzending ervan te minimaliseren.

Juridische verbeteringen

Begin mei 2019 bereikten SLM Microsoft Rijk en Microsoft overeenstemming over fundamentele verbetering van de privacyvoorwaarden. De belangrijkste vijf juridische verbeteringen die de rijksoverheid heeft onderhandeld, zijn:  

(1)   verduidelijking van de rol van Microsoft als verwerker voor alle soorten persoonsgegevens, niet alleen voor de inhoud van bestanden;

(2)   beperking van de verwerking tot drie legitieme doelen;

(3)   een verbod op het gebruik van de gegevens voor profiling, data analytics, marktonderzoek of advertenties;

(4)   afspraken hoe  gegevens echt worden geanonimiseerd, en;  

(5)   effectieve auditrechten voor de rijksoverheid.

Kamerbrief

De ministers van J&V en BZK noemen deze verbeteringen in een Kamerbrief en concluderen dat er geen bezwaren meer zijn voor overheidsinstellingen die onder dit rijkscontract vallen om gebruik te maken van de nieuwste versies van Office 365 ProPlus, Windows 10 Enterprise en Azure. Het onderzoek en de verbeteringen zijn ook beschreven in de vier DPIA rapporten die SLM Microsoft Rijk heeft gepubliceerd.

Omfloerst taalgebruik

Microsoft voert de verbeteringen door in haar Online Service Terms (OST). Organisaties die voor het eerst gebruik gaan maken van Office 365 in 2020 krijgen automatisch de nieuwe voorwaarden, maar de meeste organisaties hebben al lang een overeenkomst met Microsoft. Zij moeten ervoor zorgen dat ze van de nieuwe voorwaarden gebruik kunnen maken. Voor alle organisaties is het zaak om zorgvuldig te lezen wat voor verbeteringen Microsoft aanbiedt en of die wel alle aangetroffen risico’s afdekken. Microsoft blinkt uit in omfloerst taalgebruik. De aanpassingen van de OST zijn volgens de blog het resultaat van 'aanvullende feedback' van klanten en Microsoft biedt in de nieuwe voorwaarden 'meer transparantie'. Terwijl het dus om een fundamentele wijziging gaat van de werkwijze, waarover de ministers in hun Kamerbrief zeiden dat het verzamelen, opslaan en gebruik van de diagnostische gegevens niet conform de Algemene Verordening Gegevensbescherming (AVG) was. Microsoft schrijft ook in haar blog: "The only substantive differences in the updated terms relate to customer-specific changes requested by the Dutch MOJ, which had to be adapted for the broader global customer base."

Hierover zegt Paul van den Berg, plaatsvervangend Strategisch Leveranciersmanager Microsoft Rijk: “We zjin heel tevreden over wat we bereikt hebben, maar organisaties die niet onder het rijkscontract vallen, moeten zelf nog wel wat werk doen. Wij zullen voorlopig onze eigen voorwaarden blijven gebruiken, samen met de Vereniging van Nederlandse Gemeenten en SURF, tot we die voorwaarden hebben vergeleken met de aangepaste OST en we er zeker van kunnen zijn dat alle geconstateerde risico’s verholpen zijn en blijven.

Hoe verder?

De belangrijkste vraag voor alle organisaties die van Microsoft producten gebruik maken, is of Microsoft de verbeteringen ook gaat doorvoeren voor Windows 10 Enterprise, en voor de mobiele Office apps. Die software valt namelijk nu nog buiten de OST. In april 2019 heeft de EDPS, de toezichthouder op de naleving van privacywetgeving door de Europese instellingen, onder verwijzing naar de Nederlandse DPIA's, een onderzoek aangekondigd naar de privacyvoorwaarden van Microsoft en andere grote softwareleveranciers. De EDPS en SLM Microsoft Rijk hebben hun krachten inmiddels gebundeld in The Hague Forum for Cloud Contracting, om samen met alle Europese overheidsinkopers betere voorwaarden te onderhandelen met alle grote cloud providers.

De EDPS heeft Microsoft onlangs in een persbericht uitgenodigdundefined om de verbeteringen ook door te voeren in de consumentenversies van haar software. Dat is een mooie kans voor Microsoft om ook haar consumentenproducten in lijn te brengen met haar privacyvisie.

Gepubliceerd op
21/11/2019
dpia; privacyvoorwaarden; microsoft; Data Protection impact assessment; slm rijk